API スキャンの作成 (フル設定)

ASoC Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクションまたは記録されたトラフィックがある場合は、それをインポートし、API スキャン設定ウィザードを使用してスキャンの基礎として使用できます。または、Postman コレクション・ファイルを REST API で使用することもできます。

始める前に

このタスクについて

このトピックでは、API スキャンで使用できる設定オプションについて説明します。

手順

  1. 特定の「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」の下で「スキャンの作成」を選択してウィザードを開きます。
  2. 「API スキャン」を選択します
  3. API
    API 探査方法を選択します。

    設定

    オプション

    Postman コレクションのアップロードまたは記録のアップロード

    API 探査方法に基づいて、Postman ファイルまたはトラフィック記録をアップロードします。

    テスト対象のドメイン

    スキャンに組み込むドメインをすべて追加します。。スキャンを開始するには、ドメインを少なくとも 1 つ追加する必要があります。ネットワークがプライベートであり、Presence を使用している場合を除き、すべてのドメインを検証するか、許可する必要があります。

    以下の両方の形式が有効です。

    • https://demo.testfire.net/
    • demo.testfire.net
      重要: リストされていないドメインはスキャンされません。
  4. ターゲット: プライベート・サイトのスキャン

    パブリック・サイト・スキャンがデフォルトです。サイトがインターネットで利用できない場合は、「プライベート・ネットワーク」をクリックします。接続されている Presence のリストから Presence を選択します。 API 設定でのプライベート・サイトのスキャン・オプションの表示

    AppScan プレゼンス をまだ作成していない場合は、「Presence」のリンクをクリックし、「AppScan Presence の作成」を参照してただちに作成できます。

  5. 認証と接続: API 認証
    インポートしたデータにログイン記録が必要な場合は、アップロードして、認証を必要とするエンドポイントを AppScan がスキャンできるようにします。サードパーティーのツールを使用してログインを記録し、ファイルをこの場所にアップロードすることもできます。 API 設定でのログイン記録のアップロード・オプションの表示

    設定

    オプション

    ログイン記録
    ログイン記録を使用
    特別なログイン手順が必要な場合は、このオプションを選択して、スキャン中にアプリケーションにログインするたびに ASoC が使用する必要がある手順の記録をアップロードします。AppScan Activity Recorder (CONFIG ファイルとして保存) または AppScan Standard (LOGIN ファイルとしてエクスポート) を使用して記録できます。
    重要: 記録されたログイン手順には、以下の要求が含まれている必要があります。
    • ログイン/許可要求
    • 追加のログイン/許可要求。この「追加の」要求によって、AppScan が許可の成功を見極め、アプリケーションのテスト時にセッションを維持できます。

    CONFIG ファイルまたは LOGIN ファイルの記録について詳しくは、「トラフィックの記録」および「AppScan Standard によるログインの記録」を参照してください。
  6. 認証と接続: HTTP 認証

    ログイン情報のほかに、アプリケーションが HTTP 認証 (Negotiate、NTLM、Kerberos、ADFS、Basic、または Digest) を必要とするかどうかを指定します。ASoC をスキャン中に使用するために、「ユーザー名」「パスワード」、および「ドメイン」(オプション) に入力します。

    API 設定での HTTP 認証オプションの表示
  7. 認証と接続: 通信

    ASoC がサイトに同時に送信できる要求の最大数を設定します。

    API 設定での通信オプションの表示

    設定

    オプション

    スレッド数

    サイトでこの数量が許可されていない場合は、上限を低くします。サイトで同時スレッドが許可されていない場合は、上限を 1 にします。

    サーバー通信タイムアウト
    スキャン中、自動的に調整する
    タイムアウトするまでに ASoC が特定の応答を待機する時間を決定できます。これにより、スキャン時間が大幅に短縮される可能性があります。
    解決済み
    タイムアウトするまでに ASoC が応答を待機する最大時間を設定します。サイトの応答が遅く、短いタイムアウトが原因で ASoC が応答を見逃している場合は、この設定を長くします。

    最大要求速度

    デフォルトでは、ASoC はその要求を可能な限り高速でサイトに送信します。この制限によってネットワークまたはサーバーが過負荷になる場合は、この値を小さくします。
  8. 認証と接続: フォームの入力

    有効にすると、ASoCAppScan Standard のデフォルトの自動フォーム入力パラメーターを使用して、スキャン中に自動的にフォームに入力します。ポリシーは、ウィザードでは変更できません。API 設定でのフォーム入力有効化オプションの表示

    設定

    オプション

    フォームの自動入力
    ASoC AppScan Standard のデフォルトのフォーム入力パラメーター値を使用して、スキャン中にフォームの入力および送信を行います。
    注: 自動フォーム入力をオフにして、AppScan on Cloud でスキャンすると、ログイン管理データを除く、フォームに入力されたすべての情報が削除されます。AppScan はスキャン中、自動的にフォームに入力しません。このスキャンを AppScan Standard にインポートすると、自動フォーム入力が有効になりますが、ログイン管理を除くフォーム入力データは空になります。
  9. テスト: テスト・ポリシーと最適化

    テスト中にアプリケーションに送信されるテストのコレクション (テスト・ポリシー) を定義します。また、詳細なスキャンよりも迅速なスキャンを優先する製品のライフサイクルで、スキャンを高速化するための最適化を適用します。API 設定での「テスト・ポリシーと最適化」オプションの表示

    設定

    オプション

    テスト・ポリシー
    必要なカバー範囲のレベルに基づいて、5 つの事前定義テスト・ポリシーのいずれかを選択します。デフォルトは、侵入テストとポート・リスナー・テストを除くすべてのテストを含むデフォルトです。詳細は、「テスト・ポリシー」を参照してください。
    ヒント: テスト・ポリシーは、アプリケーション・ポリシーとは異なります。

    テストの最適化

    必要性に応じてスキャン速度と問題のカバー範囲とのトレードオフのレベルを選択します。スライダーには 4 つのレベルがあります。デフォルトは、「高速」です。詳細は、「テストの最適化」を参照してください。
  10. テスト: テスト・オプション

    ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。API 設定でのテスト・オプションの表示

    設定

    オプション
    ログイン/ログアウト・テスト ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。
    脆弱なコンポーネントのレポート AppScan はサードパーティー・コンポーネントの脆弱性を検出し、更新を推奨します。
  11. 設定: スケジュール

    スキャンを実行するタイミング (今すぐ、後で、またはスケジュール) を指定します。API 設定でのスケジュール・オプションの表示

    設定

    オプション

    すぐにスキャン

    セットアップとレビューが完了するとすぐにスキャンが実行されます。

    後のために保存

    設定は、完了すると保存されます。後でスキャンを実行できます。
    スケジュール
    設定が保存され、1 つ以上のスキャンが設定済みとして実行されます。
    1. 日時を選択する。これらの値はマシンで設定されているタイム・ゾーンに従って入力しますが、ユーザー・インターフェースに表示される時刻は UTC に変換されることに注意してください。
    2. スキャンを複数実行するには、「繰り返し」を選択して、以下を選択します。
      • 毎日: 日単位の間隔 (1 日から 30 日) を選択します
      • 毎週: 曜日を選択します
      • 毎月: 月単位の間隔を選択し、日付 (数値) または曜日 (最初、2 番目、3 番目、4 番目、最後) を選択します。
      注: スケジュール済み時刻になったときに最大数の同時スキャンが実行されている場合は、サブスクリプションで許可されるとすぐにスキャンが開始されます。
    3. 「終了日」(スキャンが実行される最後の日付) を設定するか、「終了日の削除」をクリックしてスケジュールを無期限に実行します。
  12. プリファレンス: スキャン・オプション
    「スキャン・オプション」パネルでは、以下を実行できます。
    • 個人スキャンとしてスキャンを実行するように指定します。
    • スキャン完了時に E メールを受け取るように指定します。
    API 設定でのスキャン・オプションの表示
  13. 概要

    必要に応じてスキャン名を編集し、スキャンに選択した設定を確認します。必要に応じて「戻る」をクリックして前のパネルに戻って調整します。 API 設定での設定オプションの概要の表示

  14. 「スキャン」をクリックします。

タスクの結果

新規スキャンとその開始時間が「スキャン」ビューに追加され、進行状況表示バーにスキャンが実行中であることが示されます。スキャンが完了すると、進行状況表示バーが閉じ、結果がグラフに要約され、(選択した場合には) E メール通知を受け取ります。

次のタスク

結果」を参照してください。